BLOG: AI en privacy: de actuele uitdagingen, opgaven en taken voor FG's

De opmars van Artificial Intelligence (AI) stelt je als functionaris gegevensbescherming (FG) voor allerlei nieuwe vraagstukken. Wat zijn de belangrijkste risico's en uitdagingen? Wat is er nodig om goed voorbereid te zijn op toekomstige ontwikkelingen?
Jean Paul van Schoonhoven van L2P deelt de actuele inzichten en geeft praktische adviezen.

Privacy is een terugkerend vraagstuk in de discussie over de impact van Artificial Intelligence (AI). De ontwikkelingen in AI-systemen gaan razendsnel, en over de omgang met de risico's is nog veel onzeker. Het is inmiddels wel duidelijk dat de belangrijkste risico's van AI en algoritmes voor dataprotectie te maken hebben met:

· de manier waarop AI-toepassingen het beginsel van dataminimalisatie onder druk zetten;
· de uitdaging om de transparantie en rechtmatigheid van gegevensverwerkingen in AI-systemen te waarborgen;
· het fenomeen van function creep, waardoor het verdere gebruik van persoonsgegevens onverenigbaar kan worden
met het doel waarvoor de data zijn verzameld.

De uitdagingen van AI voor FG's

Steeds meer organisaties maken gebruik van AI en algoritmes, en de thematiek komt dan ook onvermijdelijk op de agenda van de functionaris gegevensbescherming (FG).

Een algemene opgave voor de FG is om een intern proces te borgen om de risico's te identificeren, kwalificeren en mitigeren. Vervolgens is het de vraag wat de beste aanpak is voor de uitvoering van het risicomanagement. Het antwoord is sterk afhankelijk van de context waarbinnen de verwerking van persoonsgegevens plaatsvindt.

De specifieke uitdagingen voor FG’s gaan over:
· de juiste expertise over de verschillende soorten technologie achter de vele verschijningsvormen van AI en over de
  relevante wet- en regelgeving;
· het vermogen om de implicaties van AI op de bedrijfsvoering van de organisatie te doorgronden;
· de effectieve communicatie over de risico's voor de organisatie, inclusief de advisering over adequaat
  risicomanagement;
· de stevige positionering van de FG als adviserende toezichthouder, die de schakel vormt tussen de organisatie en de
  externe toezichthouder;
· de monitoring van de verantwoorde toepassing van AI in de organisatie.

De must-do's voor FG's

Een kerntaak voor de FG is om de interne processen op orde te brengen die zorgen voor de uitlegbaarheid, controleerbaarheid, corrigeerbaarheid en evaluatie van de inzet van AI. Het ethische gebruik van AI-systemen is niet de verantwoordelijkheid van de FG, maar een taak voor de gehele organisatie. Voor de FG is een coalitie met interne en/of externe stakeholders dan ook essentieel. Zo voorkom je dat je alleen komt te staan in de monitoring van de impact van AI.

Als interne toezichthouder kan de FG adviseren over de mogelijke grenzen aan rechtmatige gegevensverwerkingen. Daarnaast draag je bij aan de interne discussie over de ethische inzet van AI-systemen. Maar de eerste lijn bepaalt uiteindelijk waar de grenzen worden getrokken.

De specifieke werkwijze rond AI

In zekere zin is de aanpak van de FG op het gebied van AI en algoritmes niet wezenlijk verschillend van de werkwijze rond andere technologieën en innovaties. Het uitgangspunt is steeds dat de organisatie een raamwerk voor risicomanagement gebruikt. De FG houdt toezicht op de uitvoering daarvan, en adviseert over compliance.

In de context van AI-systemen betekent dit onder andere dat de organisatie een leverancier (als deze aan te merken is als verwerker van persoonsgegevens) toetst op AVG-compliance. Daarnaast is er een (pre-)DPIA nodig. Als onderdeel van de data protection impact assessment komen alle relevante stakeholders - in samenwerking met privacy professionals zoals de FG - tot een zorgvuldige afweging over de gewenste toepassing van AI.

Succesfactoren voor effectieve FG's

Een prioriteit voor de FG is om te sturen op de ontwikkeling en toepassing van een zorgvuldig afwegingskader. Een AI-beleid legt daarvoor de basis. In een AI-beleid staat onder andere wat de organisatie wil doen, wat de organisatie juridisch gezien zou mogen, en wat de organisatie minimaal moet ondernemen om te voldoen aan de wet- en regelgeving.

Een succesvolle FG fungeert daarbij als een bruggenbouwer die de verschillende perspectieven, belangen en stakeholders in de organisatie samenbrengt. In mijn ervaring maak je echt het verschil als je 
· duidelijk maakt dat de FG geen showstopper is, maar juist een business enabler;
· begrip toont voor de uitdagingen en behoeften van de organisatie;
· zoekt naar oplossingen die een evenwicht vinden tussen privacy compliance en de optimale inzet van het potentieel
  van AI, bijvoorbeeld via privacy by design.

FG's zijn ook een belangrijke speler om "data obesitas" in de organisatie te voorkomen. Organisaties zien data nogal eens als een wondermiddel, en daardoor bestaat de neiging om grote hoeveelheden (persoons)gegevens te verzamelen en bewaren. De FG kan adviseren over de mogelijkheden van dataminimalisatie en het anonimiseren en pseudonimiseren van persoonsgegevens. Met zo'n advies draag je meteen ook bij aan het bewustzijn dat een organisatie - met de juiste aanpak - wel degelijk AI, algoritmes en data kan gebruiken zonder dat er sprake is van een inbreuk op de persoonlijke levenssfeer.